13.4. Zonen
firewalld
kann verwendet werden, um Netzwerke in verschiedene Zonen zu unterteilen, je nach dem Grad des Vertrauens, den der Benutzer für die Schnittstellen und den Datenverkehr innerhalb dieses Netzwerks festgelegt hat. Eine Verbindung kann nur Teil einer Zone sein, aber eine Zone kann für viele Netzwerkverbindungen verwendet werden.
NetworkManager
benachrichtigt firewalld
über die Zone einer Schnittstelle. Sie können den Schnittstellen Zonen zuweisen mit:
-
NetworkManager
-
firewall-config
tool -
firewall-cmd
Befehlszeilen-Tool - Die RHEL Web-Konsole
Die letzteren drei können nur die entsprechenden NetworkManager
Konfigurationsdateien bearbeiten. Wenn Sie die Zone der Schnittstelle über die Webkonsole, firewall-cmd
oder firewall-config
ändern, wird die Anfrage an NetworkManager
weitergeleitet und nicht vonfirewalld
bearbeitet.
Die vordefinierten Zonen werden im Verzeichnis /usr/lib/firewalld/zones/
gespeichert und können sofort auf jede verfügbare Netzwerkschnittstelle angewendet werden. Diese Dateien werden nur dann in das Verzeichnis /etc/firewalld/zones/
kopiert, wenn sie geändert werden. Die Standardeinstellungen der vordefinierten Zonen sind wie folgt:
block
-
Alle eingehenden Netzwerkverbindungen werden mit einer icmp-host-prohibited-Meldung für
IPv4
und icmp6-adm-prohibited fürIPv6
zurückgewiesen. Es sind nur Netzwerkverbindungen möglich, die von innerhalb des Systems initiiert werden. dmz
- Für Computer in Ihrer demilitarisierten Zone, die öffentlich zugänglich sind und nur begrenzten Zugriff auf Ihr internes Netzwerk haben. Es werden nur ausgewählte eingehende Verbindungen akzeptiert.
drop
- Alle eingehenden Netzwerkpakete werden ohne Benachrichtigung verworfen. Nur ausgehende Netzwerkverbindungen sind möglich.
external
- Zur Verwendung in externen Netzwerken mit aktiviertem Masquerading, insbesondere für Router. Sie vertrauen den anderen Computern im Netzwerk nicht, dass sie Ihren Computer nicht beschädigen. Es werden nur ausgewählte eingehende Verbindungen akzeptiert.
home
- Für die Verwendung zu Hause, wenn Sie den anderen Computern im Netzwerk weitgehend vertrauen. Es werden nur ausgewählte eingehende Verbindungen akzeptiert.
internal
- Zur Verwendung in internen Netzwerken, wenn Sie den anderen Computern im Netzwerk weitgehend vertrauen. Es werden nur ausgewählte eingehende Verbindungen akzeptiert.
public
- Zur Verwendung in öffentlichen Bereichen, in denen Sie anderen Computern im Netzwerk nicht vertrauen. Es werden nur ausgewählte eingehende Verbindungen akzeptiert.
trusted
- Alle Netzwerkverbindungen werden akzeptiert.
work
- Für die Verwendung am Arbeitsplatz, wo Sie den anderen Computern im Netzwerk meist vertrauen. Nur ausgewählte eingehende Verbindungen werden akzeptiert.
Eine dieser Zonen wird als Zone default festgelegt. Wenn Schnittstellenverbindungen zu NetworkManager
hinzugefügt werden, werden sie der Standardzone zugewiesen. Bei der Installation ist die Standardzone in firewalld
auf die Zone public
eingestellt. Die Standardzone kann geändert werden.
Die Netzwerkzonennamen sollten selbsterklärend sein und dem Benutzer eine schnelle, sinnvolle Entscheidung ermöglichen. Um Sicherheitsprobleme zu vermeiden, überprüfen Sie die Standardzonenkonfiguration und deaktivieren Sie alle unnötigen Dienste entsprechend Ihren Bedürfnissen und Risikobewertungen.
Zusätzliche Ressourcen
-
firewalld.zone(5)
man-Seite